OpenSSH用戶端軟體5.4到7.1版中的roaming功能被發現兩項漏洞，分別為記憶體暴露（或稱資訊外洩）及堆積式緩衝溢位攻擊漏洞，記憶體暴露漏洞可讓惡意SSH伺服器竊取用戶電腦記憶體內容，包括加密私鑰。而緩衝溢位漏洞還需要進行其他人為設定，因此實際情況下發生率很低。

安全公司Qualys發現Open SSH存在可能導致加密金鑰外洩的安全漏洞，所幸該漏洞已經獲得修補。

OpenSSH（OpenBSD Secure Shell）為SSH協定最常用的實作技術。2010年3月發佈的5.4版起，OpenSSH的用戶端軟體加入名為roaming的功能，可在用戶端與SSH伺服器連線中斷時重新連回伺服器，接續SSH的通訊。

研究人員在OpenSSH用戶端軟體5.4到7.1版中的roaming功能發現兩項漏洞，分別為記憶體暴露（或稱資訊外洩）及堆積式緩衝溢位攻擊漏洞，可能受惡意SSH伺服器或受信賴伺服器開採，致搭載OpenSSH軟體的用戶電腦陷於資料外洩風險。

其中記憶體暴露漏洞能在OpenSSH用戶端的預設組態下開採，視用戶端軟體版本、組譯器及作業系統而定，這項漏洞可讓惡意SSH伺服器竊取用戶電腦記憶體內容，包括加密私鑰。至於緩衝溢位漏洞也是存在OpenSSH用戶端軟體的預設組態中，但還需要進行其他人為設定，因此實際情況下發生率很低。

OpenSSH組織補充，上述二項漏洞在用戶端軟體預設開啟，但包含此漏洞的伺服器版程式碼並未公開釋出。此外，一般伺服器主機的驗證機制可防範中間人攻擊，因此資訊外洩情況僅限於惡意或被入侵的伺服器。目前安全公司已經發現有資訊外洩漏洞導致的攻擊事件發生，研究人員呼籲網路服務業者及使用者重新產生新的SSH加密金鑰。

OpenSSH已經在研究公司通報後修補漏洞，並釋出預設關閉roaming功能的OpenSSH 7.1p2。來不及更新的用戶，可以按照指示立即關閉roaming功能確保安全。

OpenSSH並非OpenSSL，只是兩者都提供開源軟體加密防護。去年造成全球恐慌的Heartbleed漏洞也是造成記憶體內容外洩，但它最可怕之處是有一定能力的駭客就能攻擊廣大使用OpenSSL的網站。相較之下，OpenSSH漏洞則需要用戶PC連上惡意伺服器才會受害。